Il social engineering è una delle minacce più serie alla sicurezza dell’ecosistema finanziario, che da sempre è un target preferenziale - data la criticità dei dati custoditi - delle attività dei gruppi cyber criminali. Una corretta prevenzione è la chiave del successo.
Cos’è il social engineering e perché è una criticità
Cos’è dunque il social engineering? In questa categoria vengono fatte rientrare tutte quelle tecniche di attacco cyber basate sulla manipolazione dell’anello debole della sicurezza, quello umano. Secondo una definizione comune, social engineering è lo studio del comportamento individuale finalizzato a ottenere benefici indebiti facendo perno sull’assenza di consapevolezza, di conoscenza e/o su svariate leve psicologiche.
Ma cos’è il social engineering a livello pratico? È disporre un bonifico urgente ordinato via e-mail da un finto CEO, oppure inserire le proprie credenziali in un’e-mail di phishing, aprire un conto corrente a proprio nome a seguito di un raggiro e milioni di altre fattispecie: le campagne di social engineering possono raggiungere livelli di grande complessità e coinvolgere diversi attori, ma quello che non cambia è l’elemento cardine del raggiro, dello sfruttamento delle debolezze umane per perpetrare un attacco che non sempre potrà essere gestito con successo dai sistemi tecnici di protezione dei sistemi informatici.
Social engineering, la minaccia è reale
I dati sono eloquenti e dimostrano quanto il social engineering sia sempre più pericoloso e tristemente comune, complice anche lo smart working e l’utilizzo di dispositivi personali ai fini di lavoro: secondo il più recente Rapporto Clusit, nel 2020 è stata la seconda tecnica di attacco in assoluto, preceduta unicamente dai malware. Non solo: a causa del coronavirus e dell’utilizzo di temi a esso connessi per colpire persone e aziende, le e-mail di phishing sono cresciute fino al 600% adottando (solitamente) le due modalità più comuni, cioè i siti-clone e le e-mail con allegati malevoli.
Tecniche di social engineering e universo finanziario
Una premessa: il social engineering non risparmia nessuno. Non c’è una industry che subisce in esclusiva (o quasi) i suoi effetti: tutte ne sono coinvolte, come dimostra il Rapporto Clusit secondo cui alla voce “tipologia di vittime” i “multiple targets” restano in cima alla lista con un 25% di tutti gli attacchi. Ciò nonostante, gli attacchi cyber contro il settore finanziario sono molto frequenti, oltre ad essere cresciuti addirittura del 238% nei primi mesi del Covid (fonte: VMware) a causa dell’estensione della superficie d’attacco per via dello smart working.
Come vengono sfruttate a vantaggio dei cyber criminali le debolezze umane, ovvero quali sono le tecniche del social engineering? I criminali fanno leva sulle debolezze umane per sottrarre le credenziali d’accesso ai sistemi bancari, i dati delle carte di credito, per sostituire le coordinate di pagamento e/o per sottrarre altri dati dei clienti. L’attacco diretto ai clienti rappresenta in assoluto il primo obiettivo dei cyber criminali, che devono escogitare tecniche di social engineering sempre più sofisticate non tanto per ingannare le proprie vittime, ma per superare gli scogli della multi-factor authentication che le banche e i player dell’ecosistema finanziario sono obbligati ad adottare dall’entrata in vigore della Direttiva PSD2.
Social engineering e il valore dei dati finanziari
Per quanto la capacità di trasferire fondi sia un obiettivo centrale, non va dimenticato l’immenso valore dei dati custoditi dai player dell’ecosistema finanziario, la cui esfiltrazione può provocare danni a catena capaci di mettere a serio rischio la sopravvivenza dell’azienda, sia essa un operatore consolidato o una fintech agile e innovativa. Poter attingere ai dati dei pagamenti di milioni di clienti significa conoscere le loro abitudini, le esigenze e le necessità, ma anche anticipare i trend di mercato e intercettare sul nascere tendenze di consumo. Le aziende costruiscono sui dati il loro vantaggio competitivo, e (anche) per questo i dati finanziari fanno gola ai cyber criminali, che solitamente chiedono un riscatto in denaro per non diffonderli pubblicamente o venderli al miglior offerente.
Social engineering e la centralità della security awareness
Le tecniche di attacco si fanno sempre più sofisticate, ma quasi sempre includono una componente di social engineering, da cui l’assoluta centralità di una security awareness non solo diffusa all’interno dell’organizzazione (mediante apposite attività), ma anche – per quanto possibile – verso i partner e i clienti, che spesso sono i primi bersagli dell’attacco. All’awareness interna si deve quindi associare una corretta e costante comunicazione indirizzata ai potenziali bersagli delle tecniche di social engineering.
Le cronache recenti parlano di tecniche di island-hopping, consistenti nel perpetrare un attacco attraverso terze parti aventi un certo grado di accesso ai sistemi dell’obiettivo finale; di attacchi watering hole, consistenti nell’infettare con malware siti frequentemente usati da un’organizzazione; di business e-mail compromise, che tra tutti è quello più legato al social engineering. Anche noto come “truffa del CEO”, vede il criminale assumere le sembianze virtuali di un alto dirigente aziendale e disporre (via e-mail) attività come la consegna di credenziali o trasferimenti di denaro. La vittima ritiene che la comunicazione sia attendibile perché, magari, rafforzata da urgenza o dall’intervento di altri (finti) manager nella conversazione, ed esegue così l’ordine. Si tratta di una semplificazione, poiché BEC può essere un attacco molto sofisticato e fatto precedere da un’attenta attività di studio della vittima: non mancano, inoltre, casi di Reverse BEC, che si verificano quando il server di posta della vittima viene compromesso e usato per eseguire attacchi di malware fileless contro alti dirigenti e membri del board aziendale. Le tecniche di social engineering evolvono giorno dopo giorno. Per questo, è fondamentale farsi trovare preparati e, soprattutto, continuare ad aggiornare i propri dipendenti su questo tema.
Social engineering, mai abbassare la guardia
Qualsiasi sia la tecnica usata, la certezza è che tali attacchi non diminuiranno tanto facilmente. Per quanto concerne la componente di social engineering, abbiamo già accennato quanto la difesa principale sia la consapevolezza, che purtroppo non sempre è presente all’interno delle aziende o dei clienti finali. È, infatti, la consapevolezza che crea quella salutare diffidenza in grado di sventare una campagna di social engineering e di mantenere i dati aziendali al sicuro. Se si sta cercando un punto da cui partire, l’awareness è la risposta.
